Valutazione dell'Impatto AI: FRIA, DPIA e Obblighi per le Imprese

Punto chiave: L'AI Act europeo introduce il Fundamental Rights Impact Assessment (FRIA) — una valutazione obbligatoria dell'impatto sui diritti fondamentali prima del deployment di sistemi AI ad alto rischio. Non è un documento burocratico: è lo strumento che forza le organizzazioni a ragionare sui danni reali prima che si verifichino.

Cos'è la Valutazione dell'Impatto AI?

La valutazione dell'impatto AI è un processo sistematico di identificazione, analisi e mitigazione dei rischi che un sistema AI può causare — su individui, gruppi, o la società nel suo complesso — prima che il sistema venga messo in produzione.

Esistono due livelli distinti, spesso sovrapposti:

DPIA (Data Protection Impact Assessment) — Già obbligatoria ai sensi del GDPR (Art. 35) per trattamenti di dati personali che presentano rischi elevati. Si focalizza sui rischi per la privacy e la protezione dei dati. Richiesta quando si usa profilazione sistematica, dati biometrici, o si prendono decisioni automatizzate con effetti significativi sulle persone.

FRIA (Fundamental Rights Impact Assessment) — Introdotto dall'AI Act per i sistemi ad alto rischio. Va oltre la privacy e analizza i rischi su una gamma più ampia di diritti: non discriminazione, giusto processo, libertà di espressione, dignità umana, protezione dei dati, diritti dei lavoratori.

Come Funziona

Una valutazione dell'impatto AI completa include:

1. Descrizione del sistema — Cosa fa il sistema, chi lo usa, su chi ha effetti, quali dati utilizza, come vengono prese le decisioni.

2. Analisi dei diritti potenzialmente impattati — Check strutturato su ogni diritto fondamentale: il sistema potrebbe discriminare? Potrebbe limitare l'accesso a servizi essenziali? Potrebbe influenzare diritti lavorativi? Potrebbe trattare dati senza base giuridica adeguata?

3. Valutazione del rischio — Per ogni impatto potenziale: probabilità (quanto è probabile che accada?) × gravità (quanto danno causerebbe?) = livello di rischio.

4. Misure di mitigazione — Per ogni rischio sopra soglia: quali controlli tecnici, procedurali o organizzativi lo riducono a un livello accettabile?

5. Residual risk assessment — Dopo le mitigazioni, il rischio residuo è accettabile? Se no, il sistema non può essere deployato.

6. Piano di monitoraggio — Come viene verificato nel tempo che i rischi identificati rimangano gestiti?

Applicazioni Business

Intesa Sanpaolo — scoring creditizio — Prima di deployare un nuovo modello di credit scoring, la banca conduce una DPIA (per i dati personali usati nel modello) e, con l'AI Act, dovrà condurre anche una FRIA per valutare l'impatto su non discriminazione e accesso ai servizi finanziari. Il processo include consultazione con il DPO e revisione legale.

Generali — selezione automatica delle polizze — I sistemi che determinano automaticamente il premio assicurativo o la copertura devono essere valutati per il rischio di discriminazione basata su variabili proxy (codice postale come proxy per etnia, ad esempio).

Comune di Milano — servizi ai cittadini — Le amministrazioni locali che usano AI per assegnare servizi sociali (case popolari, sussidi, asili nido) devono completare la FRIA prima del deployment e pubblicarne un riassunto — requisito di trasparenza verso i cittadini.

Recruiting nelle aziende — I sistemi di screening candidati AI sono esplicitamente ad alto rischio. Le aziende che li adottano (anche come deployer, non solo come fornitori) devono completare una FRIA che valuti il rischio di discriminazione di genere, età, etnia, e garantire supervisione umana nelle decisioni finali.

Interazione GDPR-AI Act

DPIA e FRIA si sovrappongono ma non sono identiche. Il Garante della privacy italiano raccomanda di condurle in modo integrato per evitare duplicazioni, ma riconoscendone le differenze:

Termini Correlati

• Classificazione sistemi rischio AI
• AI Act regolamento europeo
• GDPR e intelligenza artificiale
• Governance AI
• Trasparenza AI